Expert eninnovation

La gestion des périphériques modernes avec System Center 2012 R2 Configuration Manager

24/04/2014

Votre conférencierJean-Sébastien DuchêneExpert – System Center – EXAKISMVP Enterprise Client Managementjeansebastiend@exakis.comwww.windowstouch.fr

Agenda

La gestion des périphériques mobiles Comment l’implémenter ?

Introduction

Présentation

Discussion et questions

Présentation Exakis

Exakis, première Entreprise de Services du Numérique Microsoft

Notre positionnement Partenaire pure-player de Microsoft leader en France

Notre objectif

Vous apporterdes solutions technologiquesqui vous permettront d’améliorer vos performances

Notre métier

Intégration de solutions pour l'entreprise basée surla plateforme Microsoft

Une couverture large et cohérente des besoins de nos clients

Innovation et solutions logicielles

Social et collaboration

Datacenter et cloud

Environnement utilisateur et

mobilité

Communications unifiées

Sécurité et gestion des identités

Présentation MUG Lyon

Un objectif

Microsoft User Group lyonnais pour partager et débattre autour de technologies passionnantes et innovantes :)

Un collectif Clément BOUILLIER / DevLyon / @clem_bouillier Matthieu DUFOURNEAUD / Exakis / @mdufourneaud Grégory OTT / Tekigo / @gregory_ott Emilien PECOUL / DevLyon / @Ouarzy Florent PELLET / DevLyon / @florentpellet Yannick RINGAPIN / MCNEXT / @BlackBeard486 Vincent THAVONEKHAM / Viseo / @vThavo Benjamin WISNIEWSKI / Apollo SSC / @_b3w

Un sponsor annuel

www.viseo.com

Viseo est une société de conseil, de services et de formation, experte dans les architectures objet (Java, JEE, .Net) et web, les applications mobiles (Android, iPhone, HTML5...), les méthodes agiles, la modélisation (UML) et l'assistance à maitrise d'ouvrage (AMOA).

Des évènements

Chaque dernier jeudi du mois Idées de sessions Speakers

Prochains évènements Mix-IT (mix-it.fr) : 29/30 Avril //publish : 16 et 17 Mai

Nous contacter muglyon.github.io Twitter @MUGLyon Facebook /

www.facebook.com/groups/118200884904279 LinkedIn / www.linkedin.com/groups/MUG-Lyon-

4302523

IntroductionLes défis des DSIsLa gestion des périphériques mobiles en entrepriseSolutions actuellesL’IT centré autour des utilisateurs

Les défis des DSIs

L’explosion des périphériques détruit l’approche basée sur des standards pour l’entreprise.

Périphériques

Déployer et gérer des applications à travers différentes plateformes est difficile.

Applications

Données

Les utilisateurs doivent être productifs tout en gardant la conformité et en réduisant les risques.

Les utilisateurs s’attendent à travailler depuis n’importe où et avoir accès à toutes les ressources de travail.

Utilisateurs

La gestion des périphériques mobiles en entreprise Mobile

Information Management (MIM)Politiques IT appliquées directement sur la donnée quel que soit l’endroit où elle transite ou réside

Microsoft propose:

• Active Directory Rights Management Services (AD RMS) protège et crypte les documents et le contenu des emails.

• Cette fonctionnalité de “Data Loss Prevention (DLP)” empêche par exemple le transfert d’emails vers des comptes externes et des données sensibles d’être téléchargées à des solutions Cloud tiers

Mobile Content Management (MCM)Sécuriser la distribution et l’accès mobile aux données aux utilisateurs

Microsoft propose:

• Utilisation de ‘Workplace Join’ pour s’enregistrer dans l’Active Directory avec le Single Sign On (SSO) et ainsi accéder au données ou services via le Web Application Proxy et ADFS.

• Sécurisation des fichiers synchronisés mobiles grâce aux ‘Work Folders’.

• Authentication Multi-facteur pour augmenter le niveau de sécurité d’acces aux données d’entreprise

• Dynamic Access Control permet la classification et la protection des documents en fonction de leur contenu.

Mobile Application Management (MAM)Gestion des applications métiers par l’IT au travers d’un catalogue d’applications d’entreprise

Microsoft propose:

• Portail d’entreprise où les employés peuvent télécharger des applications internes/publiques, web et distantes pour Windows, iOS, et Android.

• Les applications d’entreprise peuvent être poussées sur le périphérique et supprimées à distance.

• Effacement uniquement des applications d’entreprise, données et politiques de sécurité, sans toucher le contenu personnel de l’utilisateur.

Mobile Device Management (MDM)Politiques IT appliquées et profils poussés sur les mobiles

Microsoft propose:

• Définition des politiques sur Windows, iOS et Android à travers les APIs de gestions OMA DM.

• Gestion des certificats, Wi-Fi et Profils VPN.

• Détection d’iOS ‘jailbreakés’ et d’Android ‘rootés’.

• Gestion des équipements mobiles en itinérance sur des réseaux de données sans fil, facilitée par la passerelle Cloud Internet.

+ 2012 R2

Solutions actuelles

Solution d’administration de Parc PC / Serveur

Ne prend pas en compte tous les périphériquesPas de remontées de tous les appareils gravitant autour de l’utilisateur

Solution d’administration des appareils mobiles

Vue uniquement de la flotte mobilePas de prises en charge des PC/Mac

L’IT centré autour des utilisateurs

Périphériques

Applications

Utilisateurs

Responsabiliser les utilisateursPermettre aux utilisateurs de travailler sur les périphériques de leur choix en donnant un accès aux ressources de l’entreprise.

Unifier l’environnement

Délivrer des applications unifiées et gérer des périphériques à l’intérieur de l’entreprise ou via le Cloud.Protéger vos données

Aider à protéger les données de l’entreprise et gérer les risques.

Administration. Accès. Protection.

Données

La gestion des périphériques mobilesDeux plateformes d’administrationFonctionnalités Windows Intune (Cloud)Administration unifiée des appareilsFonctionnalités ConfigMgr/Intune (Hybride)Les systèmes et périphériquesL’enregistrement des périphériques

Les portails d’entrepriseQuoi de neuf dans l’inventaire ?Déploiement d’applicationsLa gestion des paramétragesProtégez vos donnéesDe nouvelles fonctionnalités en continu

Deux plateformes d’administration

Administration unifiée des périphériquesSystem Center 2012 R2 Configuration

Manager avec Windows Intune

Construit sur une infrastructure Configuration Manager existante

Administration complète des PCs (Déploiement des OS, Endpoint Protection, contrôle du déploiement des applications, Reporting riche)

Contrôle important des stratégies Gère jusqu’à 100,000 périphériques mobiles Outil d’administration extensible (RBA, PowerShell,

SQL Reporting Services)

Administration basée dans le cloud

Windows Intune

Pas d’infrastructure Configuration Manager existanteContrôle des stratégies simplifiéMoins de 7,000 périphériques mobiles et 4,000 utilisateursConsole d’administration Web simplifiée

Fonctionnalités Windows Intune (Cloud)

Stratégies de sécurité et contrôle d'Exchange ActiveSync (EAS) …

Stratégies de sécurité ‘en direct’ pour les Windows Phone, Windows RT, iOS

Publication des logiciels vers les utilisateurs (portail d’entreprise)

Inventaire des matériels

Suivi du déploiement des logiciels métier

Intégration avec Active Directory

Contrôle proactif des PC

Seuils d'alertes paramétrables

Stratégies de sécurité

Déploiement des logiciels et des mises à jour sur les PC

Suivi des licences Microsoft et autres

Rapports détaillés sur le matériel

Protection des PC contre les logiciels malveillants

Inventaire logiciels et matériels

Administration unifiée des appareils

IT

Mac OS X

Windows PCs(x86/64, Intel SoC),

Windows to GoWindows Embedded

Windows RT, Windows Phone 8

iOS, Android

Single AdminConsole

Fonctionnalités ConfigMgr/Intune (Hybride)

Enregistrement des périphériques Over the Air

Inventaire des périphériques

Déploiement des applications sur les utilisateurs

Gestion des paramètres et de la conformité du périphérique et de l’utilisateur

Retrait des périphériques à distance

Effacement des périphériques à distance

Intégration avec Active Directory

Inventaire logiciels et matériels

Reporting

Télédistribution d’applications

Déploiement de mises à jour logicielles

Déploiement de système d’exploitation

Surveillance de l’utilisation des applications

Gestion des paramètres et de la conformité du périphérique et de l’utilisateur

Prise en main à distance

Contrôle d'accès réseau

Protection des ressources clientes (antivirus)

Les systèmes et périphériques

Périphériques Windows

Périphériques hétérogènes

Support des systèmesPlatforme OS Agent d’administration Expérience utilisateur

Windows 8.1 PC Agent ConfigMgr ouAgent d’administration (OMA-DM)

Software Center/Application Catalog

Application de portail d’entreprise Windows

Windows PC (Win8,Win7,Vista,XP)

Agent ConfigMgr Software Center/Application Catalog

Windows RT Agent d’administration (OMA-DM) Application de portail d’entreprise Windows

Windows Phone 8 & 8.1

Agent d’administration (OMA-DM) Application native du portail d’entreprise Windows Phone 8

iOS (5.x,6.x,7.x) Protocole MDM Apple Application native du portail d’entreprise iOS

Android (De 2.1 à …) Agent MDM Android (OMA-DM) Application native du portail d’entreprise Android

Mac (10.6,10.7,10.8,10.9)

Agent ConfigMgr Expérience de Self-Service limité

Linux/Unix Agent ConfigMgr N/A

L’enregistrement des périphériques

26

L’IT peut publier l’accès à des ressources d’entreprise avec Web Application Proxy basé sur le périphérique et l’identité de l’utilisateur ; L’authentification multi-facteurs peut être utilisé via Windows Azure Active Authentication (formerly PhoneFactor)

L’utilisateur peut enregistrer les périphériques pour du single sign-on et accéder aux données d’entreprise avec Workplace Join. Le certificat est installé sur la machine

L’utilisateur peut enregistrer les périphériques pour être géré via Windows Intune; L’utilisateur peut utiliser le portail d’entreprise pour accéder aux applications d’entreprise.

Durant le processus d’enregistrement, un nouvel objet est créé dans Active Directory afin de créer un lien entre l’utilisateur et son périphérique.

Les données de Windows Intune sont synchronisée avec Configuration Manager qui fournit une administration unifiée.

Les portails en libre-service

• Applications natives pour :• Windows 8 & 8.1 x64/x86• Android• iOS• Windows RT• Windows Phone 8 & 8.1

• Nouvelles fonctionnalités• Gestion des périphériques :

verrouillage, effacement sélectif à distance

• Support des logos d’entreprise

• …

Quoi de neuf dans l’inventaire ?

Nouvelle condition globale pour différencier les périphériques personnels et d’entreprise.

Gestion des applications

Périphériques Personnel – Inventaire des applications installées par ConfigMgr/Intune seulementPériphériques d’entreprise – Inventaire complet des applications*

Inventaire des applications

Par défaut, les périphériques sont tagués comme “personnels”.Les Admins peuvent changer l’attribution d’un périphérique

Périphériques personnel vs d’entreprise

* WP8 ne permet que l'inventaire des applis installées par MDM

Aperçu des inventaires

Déploiement d’applications Nouveau modèle d'application

Méthode de détection

Commande d'installation

Règles sur les conditions requises

Dépendances

Remplacement

Propriétés de l'administrateur

Métadonnées de l'utilisateur

Organiser et gérer les applications

App-V

Windows Script

.XAP, .APK, .IPA

Windows Installer

Informations générales

Informations pratiques pour vos utilisateurs (apparaissent dans le Catalogue)

Appli installée ?

Type de déploiement

Options et ligne de commande

Peut/ne peut pas installer appli

Applis qui doivent être présentes

Contrôle des versions des applis

"Package" d'application

Déploiement d’applications Tourné utilisateurs

• Déploiement d’applications en libre-service ou forcé• Windows app package (.appx file)• Windows Phone app package (*.xap file) • App Package for iOS (*.ipa file) • App Package for Android (*.apk file)

• Possibilité de rediriger l’utilisateur sur le Store éditeur• Windows app package (in the Windows Store) • Windows Phone app package (in the Windows Phone Store)• App Package for iOS from App Store • App Package for Android on Google Play

La gestion des paramétragesCatégorie Win 8.1 PC &

RTWP8 WP8.1 iOS Android

VPN

Wi-Fi

Certificats

Email

Mot de passe (*) (*) (*)

Restriction des périphériques (*) (*)

Accès au Store

Liste noire/blanche d’applications

(*Update 1)

Navigateurs (*) (*)

Classement du contenu

Synchronisation du cloud (*)

Chiffrement (*) (*) (*)

Sécurité (*) (*) (*)

Itinérance (*) (*)

Work Folders Windows Server

La gestion des paramétragesConfiguration de l’accès aux ressources

Plateformes

Windows 8.1Windows 8.1 RTWindows Phone 8.1iOSAndroid

Bénéfices

L’utilisateur a accès aux ressources de l’entreprise sans actions manuelles

Nouvelles fonctionnalités*Configuration des profils réseaux et profiles VPN Support du VPN automatique Windows 8.1Paramétrage de l’authentification et du protocole Wi-FiAdministration et distribution des certificats

La gestion des paramétragesAdministration des profils VPN

Support des vendeurs VPN SSL VPN

Initiation basée sur le nom DNSavec support de Windows 8.1 et iOS

Initiation basée sur l’ID de l’application avec support de Windows 8.1

Connexion automatique du VPN

Support des standards VPN

VPNs SSL de Cisco, Juniper, Check Point, Microsoft, Dell SonicWALL, F5 Sous ensembles de vendeur qui ont le plugin VPN Windows RT

PPTP ,L2TP, IKEv2

La gestion des paramétragesLes profils de certificats et Wi-Fi

Les paramétrages Wi-Fi Administrer et distribuer des certificatsDéploiement de certificats racines

Support du protocole Security Center Endpoint Protection(SCEP)

Administration les paramétrages d’authentification et le protocole Wi-Fi Provisionnement des réseaux Wi-Fi networks pour une auto-connexionRenseignement du certificat afin d’être utilisé sur la connexion Wi-Fi

La gestion des paramétragesWork Folders

Synchroniser des fichiers et données à travers les périphériques Support par Configuration Manager

et Windows IntuneNouveau paramétrages qui aide à provisionner les paramétrages de découverte Work FolderLes portails d’entreprise ont des liens vers les Work Folders

Nouvelle fonctionnalité dans Windows 8.1 et Windows Server 2012 R2

La gestion des paramétragesDéploiement de profils Email

Distribution de profils Email Prise en charge de Configuration Manager et de Windows Intune

Configuration des paramétrages Exchange ActiveSyncParamétrage de synchronisation du compte (fréquence, contenu…)

Support d’iOS et Windows Phone 8 & 8.1

Protégez vos données

Données et applications personnelles

Perdu ou volé

Données et applications de

l'entreprise

Appli à distance

Données centralisée

s

38

Enregistrement de l'appareilRetiré

Données et applications de

l'entreprise

Appli à distance

Stratégies

Stratégies

Perdu ou volé

Données et applications de

l'entreprise

Appli à distance

Stratégies

Données et applications personnelles

Retiré

Données et

applications

personnelles

Protégez vos donnéesEffacement sélectif

• Basé sur les capacités de la plateforme• Suppression de certaines données

• Email• Applications installées à travers ConfigMgr/Intune• Les profiles (WiFi/VPN)• Les certificats• Les stratégies MDM (paramètrages)• L’agent d’administration• Les données du portail d’entreprise

• Plateformes supportées• Windows 8.1, Windows 8.1 RT• Windows Phone 8.1• iOS• Android

De nouvelles fonctionnalités en continu

• Windows Intune Waves : 6 mois• Permet à ConfigMgr de suivre le

rythme• Première extensions :

• Profils Email• Paramètres de sécurité iOS 7

Comment l’implémenter ?Processus GénéralLes éléments d’architectureAdministration unifiée des appareilsLes certificats/clés par plateformesFocus sur les Sideloading KeysEnregistrement Windows Phone 8 & Windows RT

Processus Général1. Souscrire à Windows Intune

Windowsintune.com A partir du portail MVLS

2. Ajoutez un enregistrement DNS public utilisé pour l’enregistrement des périphériques

3. Vérifiez que les utilisateurs ont un UPNs avec le domaine public4. Vérifiez/Relancez la découverte des utilisateurs Active Directory pour

refléter le changement dans ConfigMgr5. Déployez et configurer AD FS 2.0 (non nécessaire)6. Déployez et configurer AD Directory Synchronization

Réinitialiser les mots de passe si AD FS n’est pas déployé Ou choisir la synchronisation des mots de passe

7. Configurez ConfigMgr pour la gestion des périphériques mobiles Créer un abonnement Windows Intune à partir de la souscription Créer le connecteur Windows Intune

8. Vérifiez que ConfigMgr est connecté à Windows Intune

Les éléments d’architecture• Abonnement Windows Intune :

• Récupère le certificat nécessaire pour se connecter au service Windows Intune (processus en arrière plan)

• Définit les collections d’utilisateurs autorisés à enregistrer des périphériques mobiles

• Définit et configure le support des plateformes mobiles supportées par l’entreprise

• Connecteur Windows Intune• Se connecte au Windows Intune Cloud Server• Envoi des stratégies pour la distribution des logiciels et la gestion des

paramétrages• Reçoit des messages d’état et de statut à partir des clients

• Service Windows Intune Service (non visible par l’admin)• Contient un Device Management Point• Management Point avec une base de données locale pour stocker les

stratégies• Gateway/Proxy pour communiquer avec les périphériques mobiles

Les certificats/clés par plateformes

Plateforme Certificats ou clés Comment l’obtenir

Windows Phone 8

Un certificat de signature de code pour l’application.

Toutes les applications doivent être signées.

Acheter un certificat de signature de code chez Symantec

http://www.symantec.com/verisign/code-signing/windows-phone

Windows

Clés Sideloading : Les périphériques Windows doivent être provisionnés avec cette clé pour permettre l’installation des applications signées.

Un certificat de signature de code pour l’application

Toutes les applications doivent être signées.

Acheter un certificat de signature de code chez Symantec

http://www.symantec.com/verisign/code-signing/windows-phone

Acheter des clés sideloading chez Microsoft,

http://technet.microsoft.com/en-us/library/hh852635.aspx

iOSCertificat du service Apple Push Notification

Obtention d’un certificat à partir du service Apple Push Notification

Android Aucun

Focus sur les Sideloading KeysSystème Joint à un domaine Workgroup

Windows 8/8.1 Entreprise& Windows 8.1 Update Pro

OK* Clé de sideloading (incluse dans la licence sur le VLSC)

Windows 8/8.1 Pro Clé de sideloading (achat par 10 unités)

Clé de sideloading (achat par 10 unités)

Windows 8/8.1 N/A Non

Windows RT/8.1 RT N/A Clé de sideloading (achat par 10 unités)

* Activation du paramétrage « Allow all trusted apps to install » par GPO

Démo !

Enregistrement Windows Phone 8 & Windows RT

Discussion et QuestionsUn peu de PubQuestionsLes prochains évènements

Un peu de Pub• Titre : System Center 2012

Configuration Manager (SCCM)• Concepts, Utilisation et Administration

• Auteurs : • Guillaume CALBANO• Jean-Sébastien DUCHÊNE

• Editions ENI• 980 pages de pur bonheur !!!• ISBN : 978-2-7460-8300-4• EAN : 9782746083004

Questions

Sponsor annuel du MUG-Lyon

www.viseo.com